Gli esperti di Bitdefender avvertono di una campagna di cryptojacking tramite una vulnerabilità di sideload DLL in Microsoft OneDrive. Bitdefender ha già rilevato 700 istanze Microsoft OneDrive attaccate a maggio e giugno 2022. La Germania è una delle più colpite.
Il cryptojacking è un pericolo crescente: gli hacker utilizzano le risorse di PC o dispositivi mobili infetti per utilizzare le proprie risorse per il proprio cryptomining. A maggio e giugno 2022, Bitdefender ha rilevato una campagna di attacco globale in cui i criminali informatici sfruttano le note vulnerabilità di sideloading DLL in Microsoft OneDrive per installare malware di cryptomining sui sistemi delle vittime. In linea di principio, potrebbero scaricare qualsiasi malware tramite la vulnerabilità, incluso il malware.
Malware crittografico tramite vulnerabilità
Il sistema operativo Windows e altre applicazioni sono basati sui file DLL che forniscono o estendono funzionalità. Non appena un'applicazione necessita di una funzionalità in una DLL specifica, la cerca nell'ordine predefinito, prima nella directory da cui è stata caricata l'applicazione, quindi nella directory di sistema, nella directory di sistema a 16 bit, nella directory di Windows Directory, nella directory attualmente utilizzata e più recentemente nelle directory elencate nella variabile d'ambiente Path. Se non viene specificato il percorso completo dei file DLL richiesti, l'applicazione tenta di trovare il file nei percorsi descritti. Se gli hacker hanno implementato una DLL dannosa nel percorso di ricerca, verrà caricata ed eseguita silenziosamente al posto dell'applicazione di cui ha effettivamente bisogno.
Scarica DLL dannose tramite OneDrive.exe
Nell'attacco analizzato da Bitdefender, gli aggressori scrivono un falso secure32.dll nel percorso %appdata%\Local\Microsoft\OneDrive\ senza privilegi speciali. OneDrive elabora OneDrive.exe o OneDriveStandaloneUpdater.exe quindi li carica. Poiché %appdata%\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe è programmato per essere eseguito ogni giorno, i file DLL falsi sono ora persistenti nel sistema della vittima.
Inoltre, gli aggressori ancorano la falsa DLL nel sistema tramite %appdata%\Local\Microsoft\OneDrive\OneDrive.exe. Puoi configurare l'avvio di OneDrive.exe a ogni riavvio utilizzando il registro di Windows. Dopo aver caricato il falso secure32.dll tramite questi processi OneDrive, ricarica il software di cryptomining e lo infetta in processi Windows legittimi. Allo stesso modo, gli aggressori potrebbero anche installare ransomware o spyware sui sistemi.
Nella campagna di cryptomining, gli hacker hanno diffuso algoritmi per il mining di quattro criptovalute: Etchasch in particolare, oltre a ethash, ton e xmr. In media, i criminali informatici realizzano un profitto di $ 13 per computer infetto. Le vittime notano perdite nelle prestazioni dei sistemi.
Microsoft: installa OneDrive "per computer".
Gli utenti possono installare Microsoft OneDrive "per utente" o "per computer". L'impostazione predefinita è l'installazione "per utente". In questa configurazione, gli utenti senza privilegi speciali possono scrivere nella cartella in cui si trova OneDrive. Gli hacker possono rilasciare malware dannosi qui, modificare file eseguibili o sovrascriverli completamente. Microsoft consiglia quindi di utilizzare OneDrive “per macchina” da installare e fornisce le istruzioni.
Ulteriori precauzioni necessarie
Tuttavia, l'installazione "per macchina" non è adatta per ogni ambiente o per ogni livello di privilegio. Bitdefender avverte quindi gli utenti di OneDrive di fare molta attenzione. Sia la protezione antivirus che il sistema operativo utilizzato devono essere sempre aggiornati.
Altro su Bitdefender.com
Informazioni su Bitdefender Bitdefender è un leader globale nelle soluzioni di sicurezza informatica e nel software antivirus, proteggendo oltre 500 milioni di sistemi in più di 150 paesi. Dalla sua fondazione nel 2001, le innovazioni dell'azienda hanno regolarmente fornito eccellenti prodotti di sicurezza e protezione intelligente per dispositivi, reti e servizi cloud per clienti privati e aziende. In qualità di fornitore preferito, la tecnologia Bitdefender si trova nel 38% delle soluzioni di sicurezza implementate nel mondo ed è affidabile e riconosciuta da professionisti del settore, produttori e clienti. www.bitdefender.de